Solaris主机评估检查表.doc

技术脆弱性评估列表Solaris主机评估 SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注基本信息收集1查看系统的版本信息、主机名及配置信息以root权限，执行：uname -ahostnameprtconf2检查网卡数目与状态以root权限，执行：ifconfig a查看网卡数目、网络配置、是否开启混杂监听模式。3检查系统端口开放情况及路由以root权限，执行：netstat annetstat -rn4查看系统已经安装了哪些程序包以root权限，执行：pkginfo5了解系统备份情况、备份机制询问相关的管理员。重点了解备份介质，方式，人员，是否有应急恢复制度等状况。补丁安装情况6审核补丁安装情况# patchadd -p 检查系统的补丁情况 # showrev -p 查看所有已经安装的patch或# ls /var/sadm/patch或ls /var/adm/patch帐户口令安全7检查passwd、shadow及group文件cat /etc/passwdcat /etc/shadowcat /etc/group保存后检查文件8检查有无对于login进行口令认证执行：more /etc/defalut/login，确认存在如下行PASSREQ=YES9检查是否设置了口令最短长度要求执行：more /etc/default/passwd，确认是否有如下设置：# 密码最短长度缺省是6，安全起见，设置为8(再长无用)PASSLENGTH=810检查是否设置了口令过期策略执行：more /etc/default/passwd，确认是否有以下设置：# 以天为单位，MAXWEEKS天后密码失效，缺省为空MAXWEEKS=xx# 以天为单位，MINWEEKS天后才可以修改密码，缺省为空MINWEEKS=yy11无用帐号审核查看/etc/passwd中是否存在uucp,news等帐号以及确认拥有shell权限的帐号是否合理12为新增用户配置安全模板确认/usr/sadm/defadduser有以下类似配置内容：# 一个用户最多属于15个组defgroup=15# 缺省组defgname=users# 缺省$HOMEdefparent=/export/home# 缺省初始设置文件来源defskel=/etc/skel# 缺省shelldefshell=/bin/bash# 帐号永不过期definact=0defexpire=13检查是否设置登录超时查看/etc/default/login文件，确认其中存在合理的设置，下面的举例为30秒TIMEOUT=30文件系统安全14检查root的搜索路径执行：echo $PATH检查root的$PATH环境变量中是否出现当前目录“.”。15检查/tmp目录的属性执行：ls -ld /tmp查看执行结果是否如下：drwxrwxrwt 7 sys sys 496 6月 8 15:41 /tmp/确认有“t”的粘合位16检查/var/adm/utmp、/var/adm/utmpx、/etc/group、/var/adm/wtmp文件的权限/var/adm/utmp、/var/adm/utmpx、/etc/group、/var/adm/wtmp文件的权限应该是64417检查是否有属主非有效用户的文件/目录执行：find / -type f -nouser（检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）18检查是否有属组非有效组的文件/目录执行：find / -type f -nogroup（检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）19检查/var/adm目录下是否存在所有人可写文件执行：find /var/adm -type f -perm -2（检查风险：/var/adm目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）20检查/var/cron目录的属性检查/var/cron目录权限是否为：root:sys 75521检查是否存在所有人可写的目录执行：find / -type d -perm -2 | xargs ls -lasd（检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）22检查属性为777的文件/目录执行：find / -type f -perm 777 | xargs ls -las（检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）23检查属性为666的文件/目录执行：find / -type f -perm 666 | xargs ls -las（检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）24检查移动介质上的文件系统安全配置执行：more /etc/rmmount.conf，查看是否做了如下设置mount cdrom* hsfs -o nosuidmount floppy* ufs -o nosuid25检查/etc目录下所有文件的组可写权限执行：find /etc -type f -perm -0020 | xargs ls -las（检查风险：如果/etc目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）26检查/etc目录下所有文件的其他用户可写权限执行：find /etc -type f -perm -2 | xargs ls -las（检查风险：如果/etc目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行）27检查初始文件权限掩码配置查看/etc/default/login文件中是否有如下配置：# 缺省设置是022，建议027或077UMASK=02728检查Root的文件权限掩码设置查看root的掩码设置，确认/etc/profile文件中将umask设为077或者02729查看磁盘分区情况执行：df -k网络服务安全30检查/etc/inetd.conf中的各项服务配置执行：more /etc/inetd.conf查看是否禁止了部分不必要的、危险的服务。或者执行：grep v “#” /etc/inetd.conf检查inetd.conf文件中所有有效的行31检查telnet & SSH服务状况执行：ps -ef |grep telnetd或ps -ef |grep sshd是否有输出telnet localhost32审核root用户远程telnetftp登录查看/etc/default/login文件，确认其中存在以下配置：CONSOLE=/dev/console则telnet不允许root远程登录查看/etc/ftpusers文件，确认其中存在以下配置行：root则ftp不允许root远程登录33检查是否限制telnet或ssh等的登录IP检查是否安装了tcp wrapper或者有防火墙或有交换机（路由器）的ACL进行保护，限制telnet或ssh等的登录IP。Tcp wrapper的配置文件：/etc/hosts.deny & /etc/hosts.allow34检查SSH的验证方式检查sshd_config的登录方式，可能为密码，公钥等方式35检查telnetd漏洞是否已经作了修补执行：showrev p查看telnetd相关的补丁编号patch id至少大于如下版本号OS Version PatchID SunOS 5.8 110668-03SunOS 5.8_x86 110669-03SunOS 5.7 107475-04SunOS 5.7_x86 107476-04SunOS 5.6 106049-04SunOS 5.6_x86 106050-0436检查是否采用了最新版本的ssh服务软件检查是否使用了最新版本的ssh执行：telnet localhost 22获得ssh的版本信息注意，端口可能不同，版本信息可能伪造，请询问管理员确认。37检查是否开启FTP服务执行：ps -ef | grep ftpd 查看返回同时与管理员确认是否开启ftp服务。38检查是否限制系统帐号使用ftp登录Wu-ftp和sun的ftpd通常查看/etc/ftpuser或/etc/ftpaccess的配置；或者查看是否通过了/etc/shells文件限制可使用FTP服务的用户；对于其他ftp请和管理员沟通。39检查是否使用sftp或ssh代替标准ftpd与管理员进行沟通了解（检查风险：经过严格测试后执行，建议采用sftp。）40检查ftp服务软件版本是否存在漏洞确认ftp版本号，以下版本存在漏洞Wu-ftpd 2.6.1以下版本Proftpd 1.20rc4以前版本Sun ftpd41查看是否开启了TCP/UDP服务查看/etc/inetd.conf的配置，以及是否启用了inetdcat /etc/inetd.confps -ef | grep inetd42查看是否运行rpc服务，如果有，都有哪些rpc服务查看是否存在 /etc/rc3.d/S71RPC或者执行：rpcinfo p localhost 查看有无输出同时也需要查看/etc/inetd.conf查看都有哪些rpc服务开启。43检查是否运行finger服务查看/etc/inetd.conf的配置，是否注释了如下行finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd44检查是否允许R系列服务，是否作了合理限制查看/etc/inetd.conf的配置，是否注释了如下行login stream tcp nowait root /usr/sbin/in.rlogind in.rlogindshell stream tcp nowait root /usr/sbin/in.rshd in.rshdexec stream tcp nowait root /usr/sbin/in.rexecd in.rexecdcomsat dgram udp wait root /usr/sbin/sat sattalk dgram udp wait root /usr/sbin/in.talkd in.talkd如果允许r服务的话，是否作了合理的限制：检查/etc/hosts.equiv，确保为空；以及$HOME/.rhosts、.netrc等文件。45检查NFS的访问限制查看NFS的配置文件/etc/export的设置是否指定了访问export目录的主机名称。46查看是否开启了automounter服务执行：ls alF /etc/auto_* ，查看执行结果；执行：ls alF /etc/rc2.d/*autofs，查看执行结果47审核其他通过RC方式启动的服务查看 /etc/rc1.d /etc/rc2.d/ /etc/rc3.d/下所有文件。48检查SNMP服务状况执行：ls alF /etc/rc3.d/*snmp*，查看执行结果，确认是否运行SNMP服务；如果运行SNMP服务，应检查补丁安装情况。Showrev -p检查相关补丁id是否至少大于如下id OS Version Patch ID SunOS 5.8 108869-16 SunOS 5.8_x86 108870-16 SunOS 5.7 107709-19 SunOS 5.7_x86 107710-19 SunOS 5.6 106787-18 SunOS 5.6_x86 106872-1849检查SNMP Community设置状况检查/etc/snmp/conf/snmpd.conf文件中community的设置。50审核CDE服务的开启状况查看/etc/rc2.d/目录下是否存在 S99dtlogin文件。日志审计51审核cron行为，审核是否配置了审计功能查看所有的cron任务在/var/spool/cron/crontabs文件中你可以找到它们。同时需要查看是否配置了审计，执行：more /etc/default/cron确认存在如下内容CRONLOG=YES52对root用户的登录进行审计执行：more /etc/default/login确认其中存在如下内容:SYSLOG=YES53审核是否对Login行为作了记录建议执行下述操作，实现对login行为的记录：touch /var/adm/loginlogchmod 600 /var/adm/loginlogchgrp sys /var/adm/loginlog54Syslog.conf的配置审核主要查看/etc/syslog.conf配置文件中是否设置了loghost55审核是否对inetd启动的TCP服务的配置了日志记录功能执行：more /etc/init.d/inetsvc确认其中存在如下内容(一般在该文件最后)/usr/sbin/inetd -s -t &安全增强配置56审核系统和各类服务的banner设置状况（1） 系统是否设置登录警告，执行：more /etc/issue（2） FTP登录信息，执行：more /etc/default/ftpd，确认文件相关配置是否作了改动：BANNER=XXXX (XXXX可以任意改变为任何一个版本信息)，将该系统版本信息屏蔽。（3） Telnet登录信息，执行：more /etc/default/telnetd，确认在文件中的加进以下一项BANNER=XXXX (XXXX可以任意改变为任何一个版本信息)，将该系统版本信息屏蔽。假如/etc/default/telnetd文件不存在，按如下步骤操作：touch /etc/default/telnetdecho BANNER= /etc/default/telnetd修改telnetd的属性chmod 444 /etc/default/telnetd57审核堆栈缓冲溢出攻击防护设置执行：more /etc/system查看文件中是否有如下设置：set noexec_user_stack = 1set noexec_user_stack_log = 158查看eeprom的状态设置执行：eeprom确认eeprom状态，查看是否有如下配置：security-mode=full 或 security-mode-command59stop-a设置审核查看/etc/default/kbd是否存在如下配置：KEYBOARD_ABORT=disable或者查看在/etc/system文件是否存在如下配置：set abort_enable = 060检查ASET启用情况执行Pkginfo查看是否安装了ASET工具或者执行 whereis asset 查看有无该工具61系统完整性保护的审核询问管理员是否安装了tripwire或者AIDE类似软件高级安全配置62检查是否设置最安全的TCP初始序列号产生方式，以提高抗IP欺骗能力查看在/etc/default/inetinit中是否存在如下配置：TCP_STRONG_ISS=263检查是否进行了缩短ARP缓存有效期的安全配置询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/arp arp_cleanup_interval检查返回值（以毫秒为单位，缺省值5分钟，建议60000）64检查是否作了IP Stack优化，不响应广播icmp echo request报文询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_respond_to_echo_broadcast 检查返回值，(系统缺省设置为1，表示响应广播ping，建议0)65检查是否作了IP Stack优化，禁止IP源路由询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_forward_src_routed检查返回值，（系统缺省设置为1，建议0，1表示允许IP源路由）66检查是否作了IP Stack优化，禁止IP转发询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_forwarding 检查返回值，系统缺省设置为1，建议0，如果此主机需要路由则应该为167检查是否作了IP Stack优化，不转发定向广播IP报文询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_forward_directed_broadcasts检查返回值，（系统缺省设置为1，建议0）68检查是否作了IP Stack优化，忽略ICMP重定向报文询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get /dev/ip ip_ignore_redirect检查返回值，系统缺省设置为0，表示接受ICMP重定向报文，建议改为169检查是否作了IP Stack优化，不响应广播icmp netmask request报文询问管理员是否专门做过IP Stack 优化调整；或者执行：/usr/sbin/ndd -get